Ceci est une page optimisée pour les mobiles. Cliquez sur ce texte pour afficher la vraie page.

[ALERTE SECURITE] Avec d'autres sites, XLD impacté par ce problème

David Aubert

XLDnaute Barbatruc
Administrateur
Modérateur
Pour info j'ai posté un message sur le forum XenForo et à l'équipe à l'origine de cet article pour mieux comprendre. En espérant avoir rapidement une réponse pertinente...
Wait & see...
David
 

Staple1600

XLDnaute Barbatruc
Bonjour David

Merci pour ton retour.
En espérant que tu trouveras une solution afin qu'on puisse naviguer sur XLD sans devoir désactiver javascript
(car à l'usage, c'est pas une partie de plaisir)

NB: D'après ce que j'ai compris de l'article, le script n'est pas forcément dans le code source de tes pages
mais appelé par un script présent lui dans tes pages.
Et apparemment toujours si j'ai bien compris, ce n'est évident pour l'éditeur du site de trouver où se cache ce script.

Voir ce chapitre dans le lien du message#6
How did we get here?
 
Dernière édition:

JBARBE

XLDnaute Barbatruc
Bonjour à tous,
En réponse au post #6 de staple et à la réponse de HZ du site :
https://freedom-to-tinker.com/2017/...kers-exploit-browser-login-managers/#comments

I’ve tried the demo, but after sending the fake e-mail/password I’ve got an error page (404) only…
At the next try it was working, but the result is two question marks
(I use Firefox with NoScript addon)
But you’re right, if I allow running JS from rawgit, then it can steal my e-mail-password couple.
It is a little bit scarie…

J'ai firefox et comme il est dit " il est effrayant " de constater que l'on peut récupérer les mots de passe des sites concernés !
Seule un utilisateur avisé peut empêcher son navigateur de récupérer ces mots de passe !
pourquoi cette option existe t'elle dans Firefox ?
Bonne soirée !
 

Staple1600

XLDnaute Barbatruc
Bonsoir le fil, le forum

@JBARBE
Il n'y a pas que Firefox qui soit concerné.
La plupart des navigateurs sont aussi concernés.
(voir l'article du premier message ou l'article en français de numerama)
C'est un bug (vieux de 11 ans!) du gestionnaire de mots de passe qui est exploité par ces scripts de tracking.
La protection la plus sûre est de désactiver javascript
(soit de manière générale ou site par site)
Sauf que peu de navigateurs récents permettent cette option en natif.
Une autre solution (si on veut éviter les add-on antipub), c'est d'utiliser le fichier hosts.

La solution la moins contraignante c'est que l'éditeur des sites de la liste mettent en place les contre-mesures évoqués dans l'article.

NB: Dans l'article, il est précisé que l'adresse mail qui est récupéré pas les mots de passe
Fortunately, we haven’t found password theft on the 50,000 sites that we analyzed. Instead, we found tracking scripts embedded by the first party abusing the same technique to extract emails addresses for building tracking identifiers.
Mais cela reste une extraction de données personnelles à l'insu de son plein gré.
 
Dernière édition:

JBARBE

XLDnaute Barbatruc
Re,
Mais Google ne stock t-il pas dans ces énormes DD ou serveurs tout ce que l'on fait !
Le piratage de données n'est pas d'aujourd'hui !
Je crois que l'UE veux y mettre un terme !
Mais bon, on connais leurs réactivités !
Et il rapporte gros !
Bonne soirée !
 
Dernière édition:

eriiic

XLDnaute Barbatruc
Bonjour à tous,

Je viens d'aller sur la page de test avec Chrome Version 63.0.3239.132 (Build officiel) (64 bits), rien de récupéré.
J'ai ré-activé java pour voir et même résultat.
Entre 2 j'ai installé la dernière version (Version 63.0.3239.132 (Build officiel) (64 bits)), et désactivé uBlock Origin et Ghostery : toujours rien.
Chrome semble insensible
eric
 

Staple1600

XLDnaute Barbatruc
Bonsoir eriiiic

Tu parles de java ou de javascript?

Tu n'utilises pas de fichier hosts personnalisé?

Dans les notes en bas de page, ils indiquent pourtant
[2] We tested the following browsers: Firefox, Chrome, Internet Explorer, Edge, Safari.
 

Staple1600

XLDnaute Barbatruc
Re

@eriiiic
Même avec javascript désactivé, ceci apparaît dans mon navigateur
(sur la page de test)

Et si je clique dessus, j'accède bien au gestionnaire de mots de passe
Ça ne se produit pas avec Chrome?

Edition: Pour Chrome il est précisé:
On Chrome you need to interact with the page (i.e., click anywhere) for the password to be sniffed.
Ci-dessous le lien de la page final du test où était indiqué cette précision.
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html
 
Dernière édition:

eriiic

XLDnaute Barbatruc
*javascript mea-culpa

Si, ça s'affiche. C'est désactivable sur Chrome, je suppose sur firefox également.
Et il faut bien que ce soit actif et le mail soit enregistré pour le test, sinon il n'y a pas de donnée à voler.
L'enregistrement des id et pw est indépendant de javascript, c'est une fonctionnalité du navigateur.

Pour les tests je cliquait bien n'importe où avant de cliquer sur le lien pour révéler. Mais nada.
Oui j'ai un fichier host personnalisé, mais pour d'autres choses. La plus longue liste est pour unchecky mais les sites ne recoupent pas ces adresses.

Par contre je viens de refaire les tests en relançant Chrome à chaque fois.
Maintenant le mail ressort, même en ayant ré-activés un par un uBlock Origine et Ghostery.
Du coup dans la foulée j'ai désactivé javascript et le mail est toujours récupéré.
Et en refaisant une série de test maintenant c'est mail ET mdp qui sont récupérés, toujours avec javascript désactivé donc il n'est pas en cause si la page de test est fiable.
Donc vaut mieux contrôler qu'il n'y ait pas de données sensibles d'enregistrées.
eric

PS : je me demande finalement si l'option désactive totalement javascript ou seulement une partie (?)
Latest stable JavaScript features
Some web pages use legacy or non-standard JavaScript extensions that may conflict with the latest JavaScript features. This flag allows disabling support of those features for compatibility with such pages. Mac, Windows, Linux, Chrome OS, Android

Edit 2 : effectivement je n'allais pas au bon endroit.
Avec javascript désactivé je n'accède plus du tout à la page : Page Not found
Du coup je ne sais quoi en penser, si c'est dès le submit qu'on est bloqué le test ne peut pas être fait...
Désolé pour les ajustements et la longueur

edit 3 : du coup j'ai ajouté les 2 adresses audienceinsights.net et behavioralengine.com aux sites bloqués javavascript et à uBlock Origin pour faire bonne mesure. Pas sûr du résultat et demain ça sera d'autres adresses mais bon
 
Dernière édition:

Staple1600

XLDnaute Barbatruc
Bonsoir le fil, le forum

@eriiiic
Tu bloques javascript par défaut pour tous les sites (ou site par site)
Ci-dessous mon paramétrage actuel pour XLD

Puisqu'on parle de script en théorie, si on désactive javascript, ce genre de script ne peut s’exécuter, non?

Ou cela veut dire d'après tes observations que le script s’exécute sur le site distant?
 

eriiic

XLDnaute Barbatruc
Bonjour Staple,

sur Chrome tu autorises/bloques tout, mais complété par des listes noire et blanche tu fais donc ce que tu veux.

Pour le reste je n'y connais rien aux scripts
Mais oui, si c'est un javascript il ne sera pas exécuté. Mais c'est dit clairement nulle part, ils parlent de script... Je suppose juste qu'il n'y a pas des tonnes de possibilité de type de script et que ça doit être ça.
 

Staple1600

XLDnaute Barbatruc
Bonsoir eriiiiic

Mon navigateur est basé sur Chromium (donc Chrome en partie)

Sur Chrome, comment tu fais pour facilement accéder à cette page de paramétrage?

Donc d'après toi en mettant ces deux domaines dans le hosts puis en les mettant dans la liste des sites bloqués au niveau de javascript, on est tiré d'affaire ?
 

eriiic

XLDnaute Barbatruc
accéder à cette page de paramétrage?
J'ouvre la page des paramètres,
en bas Paramètres avancés,
dans 'Confidentialité et sécurité' j'ai :
'Paramètres du contenu
Contrôler les informations que les sites Web peuvent utiliser et le contenu qu'ils peuvent afficher'
Et là j'ai une listes de contenus dont javascript, qui mène à son paramétrage.

Donc d'après toi en mettant ces deux domaines dans le hosts puis en les mettant dans la liste des sites bloqués au niveau de javascript, on est tiré d'affaire ?
Houla, je n'irai pas jusque là en étant affirmatif
Comme la page de test ne nous redirige pas vers ces adresses (heureusement) pas moyen de tester l'efficacité.
Mais comme ça ne mangeait pas de pain de les ajouter au passage, je ne me suis pas retenu.
Par contre je n'avais pas pensé au hosts, je vais les y ajouter. Ca ne sera pas pire que de ne rien mettre de toute façon.
Avec le temps on trouvera peut-être LA solution validée quelque part, ou une évolution des navigateurs. Ils doivent travailler dessus.
eric
 

Staple1600

XLDnaute Barbatruc
Re

La solution peut aussi venir des éditeurs des sites si j'ai bien compris ce passage.
 
Les cookies sont requis pour utiliser ce site. Vous devez les accepter pour continuer à utiliser le site. En savoir plus…